Une vaste campagne de botnets soutenue par la Chine, qui a utilisé des centaines de milliers d’appareils connectés à Internet dans le monde entier pour diverses actions malveillantes, a souligné l’importance de maintenir les logiciels à jour et de remplacer les produits lorsqu’ils arrivent en fin de vie. Mais alors que les botnets continuent de se multiplier et de se perfectionner, quelles autres leçons les entreprises peuvent-elles tirer de cet incident ?

Qu'est-il arrivé

En septembre, le Centre national de cybersécurité du Royaume-Uni (NCSC) et ses partenaires aux États-Unis, en Australie, au Canada et en Nouvelle-Zélande ont publié une organisation d'avertissement et de conseilIl s'agit d'un botnet lié à la Chine utilisé pour lancer des attaques par déni de service distribué (DDoS), distribuer des logiciels malveillants, voler des données sensibles et mener d'autres actions malveillantes.

Le botnet a compromis plus de 260,000 XNUMX appareils connectés à Internet dans les Amériques, en Europe, en Afrique, en Asie du Sud-Est et en Australie. Parmi ces appareils figuraient des routeurs, des pare-feu, des webcams, des caméras de vidéosurveillance et d'autres appareils, dont beaucoup étaient vulnérables aux failles de cybersécurité parce qu'ils étaient en fin de vie ou n'avaient pas été corrigés.

L'avis affirme qu'une société chinoise appelée Integrity Technology Group, qui aurait des liens avec le gouvernement chinois, contrôlait et gérait le botnet. Dans le même temps, l'acteur chinois Flax Typhoon a exploité le botnet dans des activités malveillantes.

Les auteurs du malware ont utilisé le code du botnet Mirai pour pirater ces appareils et les transformer en armes pour des activités malveillantes. Mirai cible les appareils connectés fonctionnant sous le système d'exploitation Linux et a été repéré pour la première fois par les chercheurs en cybersécurité de MalwareMustDie en août 2016.

Ken Dunham, directeur des cybermenaces chez Qualys Threat Research Unit (TRU), décrit Mirai comme un « système de botnet complexe » utilisé pour les campagnes de cybermenaces « liées à la création, à la publication du code source et à divers changements dans les attaques et les cibles ». Il ajoute : « Mirai reste un botnet puissant. »

Les botnets ne sont pas un phénomène nouveau. Ils existent depuis près de deux décennies, explique Matt Aldridge, consultant en solutions principal chez OpenText Cybersecurity, une société de sécurité informatique. Mais il estime que les cas d'États-nations utilisant des technologies malveillantes comme les botnets sont « un développement plus récent ».

Les principales causes

Selon Sean Wright, responsable de la sécurité des applications chez Featurespace, spécialiste de la détection des fraudes, cette dernière campagne de botnet a infecté un si grand nombre d'appareils internationaux pour trois raisons principales.

Wright explique que le premier problème est que beaucoup de ces produits ont atteint la fin de leur cycle de vie, ce qui signifie que leurs fabricants ne publient plus de mises à jour de sécurité. Mais il ajoute qu'il peut y avoir des cas où les fournisseurs ne souhaitent tout simplement pas travailler sur des correctifs pour les problèmes de sécurité.

Selon lui, le deuxième problème est que le micrologiciel des appareils IoT est « intrinsèquement peu sûr et plein de failles de sécurité, ce qui les rend facilement piratables. » Enfin, il ajoute que les appareils peuvent devenir vulnérables aux attaques de botnets parce que l’utilisateur final ne parvient pas à mettre à jour le logiciel.

Wright ajoute : « Soit ils ne savent pas comment procéder, soit ils ne sont pas au courant des mises à jour et des risques, soit ils choisissent tout simplement de ne pas le faire. Nous en voyons les conséquences à maintes reprises. »

Même si un fabricant de produits publie régulièrement des mises à jour logicielles et des correctifs de sécurité, Aldridge d'OpenText Cybersecurity explique que les cybercriminels utilisent l'ingénierie inverse pour exploiter les vulnérabilités de sécurité et prendre le contrôle des appareils connectés dans le cadre de campagnes de botnet.

Dunham, de l'unité de recherche sur les menaces de Qualys, estime que la nature « diversifiée » de Mirai est l'une des principales causes de ce botnet, expliquant que le code malveillant utilise plusieurs années d'exploits pour « compromettre rapidement les appareils vulnérables au meilleur moment » et pour « maximiser les opportunités de propagation » du malware.

Principales leçons

Étant donné que bon nombre de ces appareils n'étaient pas corrigés, Aldridge d'OpenText Cybersecurity affirme qu'une leçon claire à tirer de cette dernière campagne de botnet est que les gens doivent toujours maintenir leurs appareils connectés à jour.

Pour Aldridge, une autre leçon essentielle est que les entreprises doivent configurer correctement les appareils avant de les déployer. Selon lui, c’est la clé pour garantir la « sécurité maximale » des appareils connectés. Aldridge explique : « Si les connexions à un appareil ne sont pas activées, il devient extrêmement difficile de compromettre, voire de découvrir cet appareil. »

Wright de Featurespace recommande aux entreprises de créer un inventaire des appareils et des logiciels. En surveillant régulièrement les flux de mises à jour des produits dans ce cadre, les entreprises ne manqueront pas les dernières mises à jour, selon lui.

Lors de l'achat d'appareils, Wright conseille aux entreprises de s'assurer que le fabricant fournit une assistance adéquate et définit clairement la durée de vie de ses produits. Et lorsqu'un appareil n'est plus éligible à l'assistance, Wright ajoute que les entreprises doivent le remplacer le plus rapidement possible.

Faisant écho à Wright, Dunham de Qualys Threat Research Unit (TRU) affirme qu'il est clair que les organisations doivent développer et mettre en œuvre un plan de succession qui leur permette de gérer toutes les formes de risques matériels et logiciels « au fil du temps ».

« Assurez-vous de disposer d’une CMDB [base de données de gestion de configuration] solide et d’un inventaire fiable, d’actifs classés et reconnus, et d’une fin de vie identifiée et gérée via une politique et un plan de gestion des risques de l’entreprise », explique-t-il. « Retirez les matériels et logiciels de système d’exploitation en fin de vie et non pris en charge de la production afin de réduire au mieux les risques et la surface d’attaque. »

Autres mesures à prendre

Outre la mise à jour régulière des logiciels des appareils connectés, existe-t-il d'autres moyens pour les organisations de se protéger des botnets ? Aldridge, d'OpenText Cybersecurity, le pense. Il estime que les organisations devraient également surveiller leurs appareils et leurs systèmes pour détecter tout signe de trafic et d'activités irréguliers.

Il recommande également de segmenter les réseaux et de les sécuriser à l’aide de plusieurs couches de protection, ajoutant que ces mesures « réduiront le risque et limiteront l’impact d’une compromission potentielle ».

Wright de Featurespace convient que les entreprises doivent accorder une attention particulière à la sécurité de leur réseau afin de limiter les risques liés aux botnets. Il affirme que des outils tels que IPS (Intrusion Protection System) ou IDS (Intrusion Detection System) avertiront les utilisateurs d'une activité malveillante potentielle et la bloqueront.

Dunham, de l'unité de recherche sur les menaces de Qualys (TRU), exhorte les entreprises à se demander si elles disposent de défenses informatiques suffisamment solides pour lutter contre les botnets, comme l'architecture zero-trust. Dunham affirme que ces défenses doivent être renforcées par des améliorations continues des opérations en adoptant l'apprentissage violet, qui permet aux entreprises de renforcer leurs défenses informatiques en utilisant des approches à la fois offensives et défensives.

L’importance des cadres sectoriels

Adopter un professionnel reconnu par l’industrie cadre comme la norme ISO 27001 aidera également les organisations à développer une approche de cybersécurité large et proactive pour prévenir les botnets et autres cybermenaces à tout moment.

Wright de Featurespace explique que les cadres sectoriels fournissent aux organisations une référence et un ensemble d'exigences qu'elles peuvent suivre pour renforcer leurs cyberdéfenses et réduire les cyber-risques.

Il ajoute : « Cela permet également aux clients potentiels d’avoir une plus grande confiance dans le fait que le produit approprié est celui qui leur convient. contrôles de sécurité sont en place.

Selon Aldridge d'OpenText Cybersecurity, l'adhésion à un cadre sectoriel devrait aider les organisations à comprendre les processus et les politiques qu'elles doivent adopter pour acheter, déployer, surveiller et éliminer les appareils en toute sécurité.

Les botnets peuvent avoir de graves conséquences pour les victimes, du vol de données aux attaques DDoS. Et si vous ne mettez pas régulièrement à jour vos appareils ou si vous utilisez des produits en fin de vie, il y a de fortes chances qu'un acteur malveillant utilise l'un de vos appareils pour mener de telles actions néfastes.

Mais pour éviter que cela ne se produise, il ne suffit pas de réagir aux menaces dès que vous en entendez parler ; cela nécessite un engagement à long terme en matière de cybersécurité, qui peut être simplifié grâce à des cadres sectoriels.